:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/66/66/66663fb55130791b4fb9775e2c6bc20e/0115056185.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6f/c8/6fc89f7ea3b729aac10a382de00a5f90/0115140486.jpeg "Sysdig stellt neue Benchmark für Cloud-Sicherheit vor (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c1/54c16a567692f949cac390626820b34e/0115102427.jpeg "Die Balance zwischen fortschrittlicher Technologie und dem Schutz unserer menschlichen Identität zu wahren ist eine Gratwanderung. (Bild: Andrea Danti - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d9/2e/d92e5468b41274136166ffb7127b6d61/0115141779.jpeg "Mitarbeitende müssen über aktuelle Schwachstellen und Bedrohungen aufgeklärt werden und ein Sicherheitsbewusstsein entwickeln, um verhaltensabhängige Einfallstore zu minimieren. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/5e/405e9a7158844a3b1c403d4e106f5c64/0115101339.jpeg "Dass IT-Sicherheit auf die Management- und Geschäftsleitungsebene gehört, predigen Sicherheitsfachleute seit Jahren. Nun gießt auch die EU-Direktive NIS-2 dieses Credo in entsprechende gesetzliche Regelungen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/27/d9/27d93d4db274659ea08f4acf24d690c9/0113633997.jpeg "Ein Passkey ist ein auf dem Public-Key-Verfahren basierendes, sicheres Anmeldeverfahren ohne Passwort. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/c3/79/c37904becb849d8b2f9535b2b979da3f/0113634011.jpeg "Ein Cyber-physisches System besteht aus Mechanik, Software und vernetzter Informationstechnik zum Zweck der Steuerung und des Betrieb komplexer Anlagen und Infrastrukturen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Testsystem zur Bot-Erkennung Wie funktioniert ein Captcha?
Viele IT-Sicherheitsmaßnahmen werden erst dann entwickelt oder eingesetzt, wenn man auf ein konkretes Problem trifft. Bei Captcha war es genauso. Diese Sicherheitsabfrage wurde entwickelt, um Spam und der nicht erwünschten Nutzung von Webdiensten durch automatisierte Bots einen Riegel vorzuschieben und Mensch klar von Maschine unterscheiden zu können. Aber wie so oft bei neuen Methoden, gibt es unbeabsichtigte Nebeneffekte und Sackgassen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Jeder kennt sie und fast jeder war auch schon genervt von ihnen.denn aus verschlungenen Mustern, Buchstabenkombinationen herauszulesen oder Südfrüchte auf einem Präsentationstisch zu zählen ist nicht jedermanns Sache. Die Rede ist von Captchas. Das Kunstwort Captcha steht für “Completely Automated Public Turing test to tell Computers and Humans Apart“ und basiert auf der Definition von IT-Experten der Carnegie-Mellon-Universität aus dem Jahr 2000.
Diese Technik sollte die unerwünschte Nutzung von Dienstleistungen, dass überfluten von Diskussionsforen mit Kommentaren oder Werbung und die maschinelle Erstellung von Accounts unterbinden. Denn, so die Annahme, eine variable Frage (Challenge/Response), kann nur ein menschlicher Anwender korrekt beantworten. Doch diese Annahme wurde schnell widerlegt, denn clevere Software-Mechanismen, Mustersammlungen und eine fortschrittliche Text- und Mustererkennung forciert stets bessere Techniken.
:quality(80)/images.vogel.de/vogelonline/bdb/1349600/1349657/original.jpg "Einfaches Zahlen-Captcha, das auf der Lösung einer Rechenaufgabe basiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1349600/1349658/original.jpg "Captcha mit einer Buchstabenfolge und diversen Störobjekten.")
:quality(80)/images.vogel.de/vogelonline/bdb/1349600/1349659/original.jpg "reCAPTCHA der ersten Generation – mit Camouflage-Textelementen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1349600/1349660/original.jpg "Neue reCAPTCHA-Version bei der eigenständig erkannt wird, ob ein User aktiv ist.")
So wurde eine neue Front geschaffen, an der seit mehr als fünfzehn Jahren ein Kleinkriegt tobt! Gegeneinander treten an, die Verteidiger von Webseiten und Services gegen die Cyberkriminellen, die eine missbräuchliche Nutzung automatisieren wollen – beispielsweise um Spam zu versenden oder auch Meinungen und Zustände zu manipulieren. Das Ergebnis dieses Kleinkriegs ist eine stetige Weiterentwicklung von neuen Captcha-Mechanismen und agilen Taktiken, diese automatisiert zu umgehen.
Die Grenzen von Captchas
Der Komplexität von Captchas sind jedoch auch Grenzen gesetzt. Denn überschreiten Sie einen gewissen Komplexitätsgrad, können die menschlichen Anwender Sie nicht mehr lösen. Wobei viele Captcha-Implementationen leider nicht barrierefrei sind und so User-Gruppen von vornherein die Erkennung erschweren bzw. diese ausschließen. Auch die Option, bei manchen Captchas sich Komponenten vorlesen zu lassen, hilft mitunter nur bedingt.
Im Jahr 2008 waren Bild-Captchas der De-Facto-Standard. Text gebogen, mit Linien verzerrt, vor farblichen Hintergründen, in unterschiedlichen Schriften und Größen, mit variablen Störobjekten dominierten die Szene. Auch die ersten Content-Management-Systeme unterstützen den Anwender aktiv mit vorgefertigten Lösungen und speziell bei Wordpress sind Captcha-Plugins noch immer sehr beliebt. Doch auch die Gegenseite schlief nicht und implementierte mit OCR-Adaptionen ein Mittel, die Camouflage-Texte trotzdem korrekt auszulesen.
2009 kaufet Google das Unternehmen reCAPTCHA und setzte mit deren Lösung einen neuen Standard. Denn die Qualität der Darstellungsobjekte (bzw. Abfrageobjekte) und Verformungen, kombiniert mit der Einfachheit der Nutzung, erleichterten den effektiven Einsatz diese Abfragen enorm. reCAPTCHA wurde von Luis von Ahn, mitgegründet, dem Wissenschaftler der Jahre zuvor an der Universität den Begriff Captcha prägte.
ASIRRA
Im gleichen Zeitraum präsentierte Microsoft seine Alternative zu Captchas, das ASIRRA-System. Basierend auf einer Image-Datenbank mit Millionen von Bildern, muss der Anwender Hunde und Katzen erkennen, um sich zu authentisieren. Nebenbei wurde auch ein herrenloses Tier vorgestellt, für das ein neues Heim gesucht wurde. Als Stolperschwelle für automatisierte System wurde eine zeitliche Beschränkung eingebaut, um einen computergestützte Image-Analyse zu verhindern (Anfangs 30 sec. zur Lösung). Trotz des sozialen Effekts konnte sich das System nicht durchsetzen. Die Universität Stanford untersuchte die Angreifbarkeit des Algorithmus und konnte mit hoher Wahrscheinlichkeit, dank automatisiertem lernen, die Verifikationskontrolle erfolgreich attackieren. 2014 wurde der Dienst dann von Microsoft eingestellt.
:quality(80)/images.vogel.de/vogelonline/bdb/1338300/1338349/original.jpg "Cyberkriminelle haben Wordpress-Blogs im Visier, aber mit den richtigen Einstellungen Plugins und Multi-Faktor-Authentifizierung lässt sich einfach mehr Sicherheit erreichen. (DigiClack - stock.adobe.com)")
Weblog-Sicherheit
Wordpress sicher betreiben
reCAPTCHA
Googles Lösung folgte folgte dem eingeschlagenen Weg und forderte den User zur Verifikation von clever aufbereitete Bildschirmeingaben auf. Zur Unterstützung des Web-Nutzers wurden die folgende Optionen implementiert:
- Vorlesen des Textes
- Anfordern eines neuen Captchas
- Hilfefunktion
Fünf Jahre nach Kauf von reCAPTCHA wurde das Tool einer Risikoanalyse unterzogen. Basierend auf diesen Erkenntnissen, überarbeitete man die Captcha-Lösung und offeriert das neue „No CAPTCHA reCAPTCHA“ dem Anwender. Der Modus Operandi ist dabei sehr Anwenderfreundlich, denn das Tool analysiert den User und entscheidet selbst, ob es sich um einen Menschen oder einen Bot handelt. Im Idealfall muss der User also keinerlei Aktivitäten vornehmen. Sollte das neue reCAPTCHA aber nicht sicher entscheiden können, ob ein Mensch oder Bot agiert, wird eine grafische Abfrage nachgeschaltet. Dabei muss man entweder aus eingeblendeten Bildern, die in Ausschnitte unterteilt sind, die Bildausschnitte identifizieren, bei denen beispielsweise ein Straßenschild sichtbar (oder Tiere einer Rasse oder Art). Oder man erhält die bekannten Textelemente zur Identifikation, die mit Störobjekten belegt sind (Textdeformation etc.).
Über die Mechanismen, welche das neue reCAPTCHA nutzt, um den Anwender als Mensch zu identifizieren schweigt sich Google aus. Man darf aber vermuten, dass es eine Kombination verschiedener Elemente ist, wie z.B.:
- Elemente des Cache-Speicher
- Maus-Bewegungen
- Anzahl gespeicherter Favoriten
- Browser User-Agent
- Aktuelle Web-Historie
- Daten des Systems (Betriebssystem, Variante, Ausbaustufe)
- Lokale Einstellungen, etc.
Aber egal, wie clever ein Mechanismus ist, es wird immer wieder Versuche geben, diesen zu brechen oder zu umgehen. 2016 zeigte auf der renommierten Black Hat Konferenz der Vortrag „I’m not a human: Breaking the Google reCAPTCHA“ wie ein erfolgreicher Angriff auf den Algorithmus ablaufen könnte. Die Forscher Suphannee Sivakorn, Jason Polakis, und Angelos D. Keromytis konnten mit einem automatischen Mechanismus täglich rund 110 US-Dollar verdienen, wobei sie je 1000 gelöster Abfragen 2 Dollar addierten. Da die Forscher aber Google ihre Unterlagen übergaben, wird das seinerzeit vorgestellte Angriffsmodell heute nicht mehr funktionieren, sondern in die Optimierung des Algorithmus eingeflossen sein.
Das neue reCAPTCHA wird über eine API angeboten und ist, dank der Unterstützung von Google, einfach einzubinden. Entsprechende Anweisungen und Beispiele findet man auf der Google-Webseite. Die Nutzung von reCAPTCHA ist gratis, man benötigt aber ein API-Schlüsselpaar, welches man bei Google anfordern muss.
Alternativen
Obwohl Googles reCAPTCHA am Markt dominiert, gibt es zahlreiche andere Lösungen, um den Zugriff auf Services zu verifizieren. Eine Lösung ist FunCaptcha, bei dem der Anwender kleine Spiele lösen muss, beispielsweise sind Objekte zu drehen, Felder zu verschieben oder Positionen zu bestätigen (Welches Bild steht Senkrecht). Der Vorteil bzw. die Sicherheitskomponente von FunCaptcha besteht darin, dass OCR zum Brechen der Verifikation nicht genutzt werden kann. Ebenso kommt erschwerend hinzu, dass die Maus zur Lösung des Captchas genutzt werden muss.
Ob man nun auf ein Honeypot-Captcha setzt, bei dem beispielsweise ein Textfeld auf der Webseite angezeigt wird, welches nicht ausgefüllt werden muss (Bots verraten sich, indem sie diese Felder auch mit Inhalt füllen). Alternativ bietet sich auch die Einbindung eines Audio-Captcha an, bei dem eine Eingabe akustisch angefordert wird oder ein Logik-Captcha (Wieviel Beine haben Kühe; Welche Farbe hat der Schnee) - jedes System hat Vor und Nachteile. Letztendlich wird die genutzte Lösung immer vom Aufwand zur Implementierung und der Usability abhängig sein – ebenso wie von der erreichten Qualität, Menschen zuzulassen und Bots auszusperren.
Zukunftsaussichten
Hundertprozentige Sicherheit bei der Verifikation ob ein menschlicher Akteur oder ein Bot die Webseite besucht, wird sich nie erreichen lassen. Spezialisierte Tools können bereits heute die Prüfungen umgehen oder werden in naher Zukunft erneut Wege finden, die Verifikationsmechanismen zu brechen. Zuletzt war das Tool unCAPTCHA mit einer Quote von 85 Prozent in der Lage, reCAPTCHA zu erkennen. Ebenso wird über einen Bot berichtet, der auf Basis von künstlicher Intelligenz deutlich über 50 Prozent der diversen Captcha-Methoden aushebeln kann.
Der beste Schutz besteht aktuell darin, periodisch das Verifikationssystem zu wechseln, um so von den Bot-Entwicklern ständig neue Anpassungen zu verlangen. Wobei man schon heute mitunter daran zweifeln mag dass Programme wirklich in der Lage sind, grafische Captchas zu brechen, wie die Bespiele in dem untenstehenden Tweet, von Security-Guru Mikko Hyppönen zeigen. Klar ist aber natürlich auch, dass der beste Captcha-Schutz nichts nützt, wenn die Spammer auf menschliche Hilfskräfte aus Billiglohnländern setzen.
#CAPTCHA
— Mikko Hypponen (@mikko) 8. Juli 2016
Select all images with: DOGS pic.twitter.com/YVAAyml2fI
(ID:45122113)
:quality(80)/p7i.vogel.de/wcms/eb/b7/ebb733db7b47d492e23de27663d5d722/0111892587.jpeg "Wie gehen Angreifer vor, um Unternehmen in Microsoft 365 zu attackieren und was sollten Unternehmen als Schutz dagegen tun? (Bild: Amgun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")